【技术实现步骤摘要】
本申请涉及计算机,尤其涉及一种流量镜像的方法、装置、设备、系统和存储介质。
技术介绍
1、目前,当在pod内部署探针或者安全软件对流量进行内容审计、安全监测、威胁监控等时,利用镜像功能就能够将检测的流量镜像到审计pod内,进而捕获所有可能存在的安全漏洞和入侵威胁,以便更快速的检查和响应攻击。相关技术中,一般使用虚拟交换机(open vswitch,ovs)作为容器网络接口(container network interface,cni)插件,基于ovs的流表来实现容器网络中跨节点的流量镜像。但是在跨节点流量镜像的场景下,在ovs上实现镜像流量传输的方案配置复杂,实现难度较大。
技术实现思路
1、为解决上述技术问题,本申请实施例期望提供一种流量镜像的方法、装置、设备、系统和存储介质,解决了相关技术中实现跨节点流量镜像的方案的配置复杂的问题,且降低了跨节点流量镜像方案的实现难度。
2、本申请的技术方案是这样实现的:
3、一种数据传输方法,所述方法包括:
4、在第一接口上截获源资源对象的数据流量,得到镜像流量,其中,所述源资源对象部署在所述第一节点上;
5、根据所述第一接口的接口标识查询镜像映射表,确定目的资源对象所在的第二节点的地址信息以及所述目的资源对象上第二接口的接口标识,其中,所述目的资源对象部署于所述第二节点,所述第二节点与所述第一节点属于不同的物理节点;
6、根据所述地址信息和所述第二接口的接口标识封装所述镜像流量,
7、通过物理接口发送所述封装后的镜像流量,以便所述封装后的镜像流量基于所述地址信息和路由规则路由至所述第二节点,进而使得所述第二节点基于所述第二接口的接口标识将所述镜像流量转发至所述目的资源对象
8、上述方案中,所述第二接口的接口标识记录在所述封装后的镜像流量的封装信息中。
9、上述方案中,所述第一节点还具有第三接口,所述在第一接口上截获源资源对象的数据流量,得到镜像流量,包括:
10、利用所述第一接口上的第一处理程序截获所述源资源对象的所述数据流量,得到所述镜像流量;
11、相应的,得到所述镜像流量之后,所述方法还包括:
12、将所述镜像流量发送至所述第三接口;
13、相应的,所述根据所述地址信息和所述第二接口的接口标识封装所述镜像流量之后,所述方法还包括
14、将所述封装后的镜像流量发送至所述物理接口。
15、上述方案中,所述利用所述第一接口上的第一处理程序截获所述源资源对象的所述数据流量,得到所述镜像流量之前,所述方法还包括:
16、利用所述第一处理程序查询所述镜像映射表,确定所述第一接口的接口标识。
17、上述方案中,所述第一节点还具有第四接口,所述第四接口上加载有第四处理程序,所述将所述镜像流量发送至所述第三接口之前,所述方法还包括:
18、利用所述第一处理程序,将所述第一接口的接口标识记录在所述镜像流量的报文描述符中;
19、利用所述第一处理程序,将所述镜像流量发送至所述第四接口;
20、相应的,所述根据所述第一接口的接口标识查询镜像映射表,确定目的资源对象所在的第二节点的地址信息以及所述目的资源对象上第二接口的接口标识,包括:
21、利用所述第四处理程序查询所述报文描述符,确定所述第一接口的接口标识;
22、利用所述第四处理程序,根据所述第一接口的接口标识所述查询镜像映射表,确定所述第二节点的地址信息以及所述第二接口的接口标识,并将所述第二节点的地址信息和所述第二接口的接口标识记录在所述报文描述符中;
23、相应的,将所述镜像流量发送至所述第三接口,包括:
24、利用所述第四处理程序,将所述镜像流量发送至所述第三接口;
25、相应的,根据所述地址信息和所述第二接口的接口标识封装所述镜像流量之前,所述方法还包括:
26、查询所述报文描述符,确定所述地址信息以及所述第二接口的接口标识。
27、上述方案中,所述第二节点上加载有第二处理程序,所述镜像流量由所述第二节点利用所述第二处理程序转发至所述目的资源对象。
28、上述方案中,所述方法还包括:
29、接收控制面下发的所述镜像映射表。
30、上述方案中,所述方法还包括:
31、接收控制面下发的删除指令,所述删除指令用于删除所述源资源对象的流量镜像规则;
32、基于所述删除指令卸载所述第一处理程序,删除所述镜像映射表中所述第一接口相关数据。
33、一种流量镜像的装置,所述装置包括:
34、获取单元,用于在第一接口上截获源资源对象的数据流量,得到镜像流量,其中,所述源资源对象部署在第一节点上;
35、确定单元,用于根据所述第一接口的接口标识查询镜像映射表,确定目的资源对象所在的第二节点的地址信息以及所述目的资源对象上第二接口的接口标识,其中,所述目的资源对象部署于所述第二节点,所述第二节点与所述第一节点属于不同的物理节点;
36、处理单元,用于根据所述地址信息和所述第二接口的接口标识封装所述镜像流量,其中,封装后的镜像流量携带有所述地址信息和所述第二接口的接口标识;
37、所述处理单元,还用于通过物理接口发送封装后的镜像流量,以便封装后的所述镜像流量基于所述地址信息和路由规则路由至所述第二节点,进而使得所述第二节点基于所述第二接口的接口标识将所述镜像流量转发至所述目的资源对象。
38、一种第一节点,所述第一节点包括:处理器、存储器和通信总线;
39、所述通信总线用于实现所述处理器和所述存储器之间的通信连接;
40、所述处理器用于执行所述存储器中的数据传输程序,以实现上述的流量镜像的方法的步骤。
41、一种流量镜像的系统,所述系统包括第一节点和第二节点,其中:
42、所述第一节点,用于在第一接口上截获源资源对象的数据流,得到镜像流量,所述源资源对象部署在所述第一节点上;根据所述第一接口的接口标识查询镜像映射表,确定目的资源对象所在的第二节点的地址信息以及所述目的资源对象上第二接口的接口标识,所述目的资源对象部署于所述第二节点,所述第二节点与所述第一节点属于不同的物理节点;根据所述地址信息和所述第二接口的接口标识封装所述镜像流量,封装后的镜像流量携带有所述地址信息和所述第二接口的接口标识;通过物理接口发送所述封装后的镜像流量,以便所述封装后的镜像流量基于所述地址信息和路由规则路由至所述第二节点;
43、所述第二节点,用于接收所述第一节点发送的所述封装后的镜像流量,并基于所述第二接口的接口标识将所述镜像流量转发至所述目的资源对象。
44、一种计算机可读存储介质,所述计算机本文档来自技高网...
【技术保护点】
1.一种流量镜像的方法,其特征在于,所述方法应用于第一节点,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述第二接口的接口标识记录在所述封装后的镜像流量的封装信息中。
3.根据权利要求1或2所述的方法,其特征在于,所述第一节点还具有第三接口,所述在第一接口上截获源资源对象的数据流量,得到镜像流量,包括:
4.根据权利要求3所述的方法,其特征在于,所述利用所述第一接口上的第一处理程序截获所述源资源对象的所述数据流量,得到所述镜像流量之前,所述方法还包括:
5.根据权利要求4所述的方法,其特征在于,所述第一节点还具有第四接口,所述第四接口上加载有第二处理程序,所述将所述镜像流量发送至所述第三接口之前,所述方法还包括:
6.根据权利要求1所述的方法,其特征在于,
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
8.根据权利要求3所述的方法,其特征在于,所述方法还包括:
9.一种流量镜像的装置,其特征在于,所述装置包括:
10.一种第一节点,其特征在于,所
11.一种流量镜像的系统,其特征在于,所述系统包括第一节点和第二节点,其中:
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现如权利要求1~8中任一项所述的流量镜像的方法的步骤。
...【技术特征摘要】
1.一种流量镜像的方法,其特征在于,所述方法应用于第一节点,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述第二接口的接口标识记录在所述封装后的镜像流量的封装信息中。
3.根据权利要求1或2所述的方法,其特征在于,所述第一节点还具有第三接口,所述在第一接口上截获源资源对象的数据流量,得到镜像流量,包括:
4.根据权利要求3所述的方法,其特征在于,所述利用所述第一接口上的第一处理程序截获所述源资源对象的所述数据流量,得到所述镜像流量之前,所述方法还包括:
5.根据权利要求4所述的方法,其特征在于,所述第一节点还具有第四接口,所述第四接口上加载有第二处理程序,所述将所述镜像流量发送至所述第三接口之前,所...
【专利技术属性】
技术研发人员:焦利涛,
申请(专利权)人:深圳市深信服信息安全有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。